IAActs

Audit conformité IA en 6 étapes : le protocole terrain pour éviter la prochaine amende CNIL

Publié le 2026-04-25 | Mots-clés : [, ", i, a, , a, c, t, , f, r, a, n, c, e, , 2, 0, 2, 6, ", ,, , ", c, n, i, l, , a, m, e, n, d, e, , i, a, ", ,, , ", r, g, p, d, , c, h, a, t, b, o, t, , o, b, l, i, g, a, t, i, o, n, s, ", ,, , ", a, u, d, i, t, , c, o, n, f, o, r, m, i, t, é, , i, a, ", ,, , ", p, r, o, t, o, c, o, l, e, , c, n, i, l, , i, a, ", ,, , ", c, h, e, c, k, l, i, s, t, , i, a, , a, c, t, ", ]

Audit conformité IA en 6 étapes : le protocole terrain qui manque à 90 % des entreprises françaises

La semaine dernière, un DPO m'a envoyé un mail qui tenait en une phrase : « On déploie un chatbot lundi, est-ce qu'on est conformes ? » Lundi. Comme si la conformité IA était un truc qu'on règle entre deux cafés.

550 000 € d'amendes prononcées par la CNIL sur des systèmes d'IA entre décembre 2025 et mars 2026. Quatre décisions. Quatre entreprises qui pensaient, elles aussi, être « globalement conformes ». Le problème n'est pas l'ignorance de la réglementation — c'est l'absence de méthode pour vérifier qu'on la respecte vraiment.

Ce qui suit, c'est le protocole d'audit que j'utilise. Six étapes. Pas de charabia juridique. Du concret, calé sur ce que la CNIL sanctionne effectivement — pas sur ce que les consultants vendent.

Avant de commencer : le paysage réglementaire en 30 secondes

198 textes réglementaires suivis dans notre veille au 25 avril 2026. Soixante-quatre décisions CNIL, 66 documents du Journal Officiel de l'UE (dont 30 publiés rien que ce mois-ci), 59 avis du CEPD, 9 textes Legifrance. Le décret d'application de l'IA Act en France est tombé le 20 mars dernier. Les lignes directrices de l'AI Office sur les systèmes à risque élevé datent du 1er avril.

Personne ne peut lire tout ça. C'est précisément pour ça qu'un protocole d'audit structuré n'est pas un luxe — c'est une nécessité opérationnelle.

Étape 1 — Cartographier vos traitements IA

Pas un inventaire PowerPoint. Un registre technique.

Pour chaque système d'IA en production ou en préparation, vous documentez :

  • La finalité précise (scoring, recommandation, génération, classification)
  • Les données d'entrée et de sortie
  • Le caractère automatisé ou semi-automatisé de la décision
  • Le périmètre des personnes concernées

Pourquoi c'est la première étape ? Parce que 100 % des sanctions CNIL démarrent par un constat identique : l'entreprise ne sait pas exactement ce que fait son IA. Company Z s'est prise 250 000 € d'amende pour un algorithme de recrutement discriminatoire. Le problème de fond : personne en interne n'avait documenté les critères de profilage utilisés par le modèle.

Un registre propre prend deux jours. Une sanction prend deux ans à gérer. Le calcul est vite fait.

Étape 2 — Qualifier le niveau de risque IA Act

Depuis le décret du 20 mars 2026, la France transpose les catégories de risque de l'IA Act. La grille est la suivante :

Niveau de risque Exemples concrets Obligations clés Sanction potentielle
Inacceptable Scoring social, manipulation subliminale Interdiction totale Jusqu'à 35 M€ ou 7 % du CA
Élevé Recrutement IA, scoring crédit, reconnaissance faciale Évaluation de conformité, registre UE, supervision humaine Jusqu'à 15 M€ ou 3 % du CA
Limité Chatbots, deepfakes, systèmes d'émotion Obligation de transparence Jusqu'à 7,5 M€ ou 1,5 % du CA
Minimal Filtres anti-spam, jeux vidéo Aucune obligation spécifique IA Act Néant

Le piège classique : croire que son chatbot est « minimal » alors qu'il est « limité ». Résultat ? L'obligation de transparence de l'article 52 de l'IA Act s'applique — et accessoirement, elle recoupe l'article 13 du RGPD que la CNIL connaît par cœur. Company Y l'a appris à 150 000 € : son chatbot ne mentionnait nulle part qu'une IA traitait les demandes clients.

Étape 3 — Vérifier la base légale RGPD

C'est là que ça se joue. Vraiment.

L'IA Act a beau monopoliser les débats, les quatre amendes CNIL prononcées depuis décembre 2025 reposent toutes sur le RGPD. Pas une seule sur l'IA Act — dont l'appareil de sanctions n'est pas encore opérationnel en France.

La question à se poser : quelle base légale au sens de l'article 6 du RGPD justifie chaque traitement IA ?

Pour un chatbot qui traite des données personnelles, c'est souvent l'intérêt légitime (art. 6.1.f) ou le consentement (art. 6.1.a). Pour un scoring crédit, c'est l'exécution contractuelle (art. 6.1.b) — mais encore faut-il prouver que le scoring est strictement nécessaire à l'exécution du contrat.

Company W, 100 000 € d'amende : son système de scoring crédit reposait sur une base légale floue, à mi-chemin entre l'intérêt légitime et l'exécution contractuelle. La CNIL a estimé qu'aucune des deux ne tenait.

Petite parenthèse qui peut vous éviter un contrôle : l'avis du CEPD du 15 février 2026 a clarifié l'articulation entre IA Act et RGPD. En substance, les obligations ne se remplacent pas — elles se cumulent. Si votre IA traite des données personnelles, le RGPD s'applique en plus de l'IA Act. Pas « à la place de ». Fin de la parenthèse.

Étape 4 — Réaliser l'AIPD (ou assumer le risque)

L'analyse d'impact relative à la protection des données — AIPD, ou DPIA en anglais — est le point de bascule.

Sur les 550 000 € de sanctions CNIL liées à l'IA, 350 000 € (soit 64 %) sanctionnent l'absence ou l'insuffisance d'AIPD. Deux entreprises sur quatre ont été épinglées sur ce point. C'est le levier numéro un de la CNIL.

Et c'est logique : l'article 35 du RGPD rend l'AIPD obligatoire pour tout « traitement susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques ». Un système d'IA qui prend des décisions automatisées coche cette case presque par définition.

J'entends souvent des DPO me dire que l'AIPD est « trop lourde » à mener. Je comprends. Mais 350 000 € sur 550 000 € de sanctions, c'est un signal qu'on ne peut pas ignorer. L'AIPD n'est pas un exercice bureaucratique — c'est votre meilleur argument en cas de contrôle.

Contradiction que j'assume : l'AIPD est à la fois la mesure la plus importante et la plus mal exécutée. La plupart des AIPD que je relis sont des copier-coller de templates génériques qui ne décrivent pas le traitement réel. Mieux vaut une AIPD de trois pages qui dit vrai qu'un document de quarante pages qui ne décrit rien.

Étape 5 — Implémenter les obligations de transparence

Le RGPD (article 13) et l'IA Act (article 52) convergent sur un point : l'utilisateur doit savoir qu'il interagit avec une IA.

Pour un chatbot, ça signifie au minimum : 1. Un avertissement clair et visible avant la première interaction (« Ce service utilise un agent conversationnel automatisé ») 2. Les informations sur le responsable du traitement et la finalité 3. Un mécanisme d'accès aux droits RGPD (rectification, suppression, opposition)

Le troisième point est systématiquement oublié. Company Y n'avait aucun des trois — mais c'est le point 3 qui a transformé ce qui aurait pu rester un rappel à l'ordre en amende de 150 000 €.

Détail qui compte : « transparent » ne veut pas dire « noyé dans les CGU ». La CNIL exige une information « facilement accessible et compréhensible ». Un lien au fond d'une page de mentions légales, ça ne passe plus.

Étape 6 — Documenter et planifier les revues

L'audit n'est pas un événement. C'est un cycle.

Le règlement délégué du 10 mars 2026 sur les modèles GPAI impose déjà des obligations de documentation continue pour les fournisseurs de modèles d'IA à usage général. Même si vous n'êtes qu'un déployeur et pas un fournisseur, cette logique de documentation itérative est exactement ce que la CNIL attend.

Concrètement, à la fin de votre audit : - Archivez le registre des traitements IA (étape 1) - Conservez la qualification de risque et sa justification (étape 2) - Stockez les AIPD avec leur date de réalisation (étape 4) - Planifiez une revue trimestrielle — le paysage réglementaire bouge trop vite pour faire moins (30 nouveaux textes EU publiés rien qu'en avril 2026)

Ce protocole ne vous protège pas de tout

Soyons honnêtes. Ce guide couvre les motifs de sanction CNIL observés en 2026. Il ne couvre pas les futures obligations de l'IA Act dont l'application pleine n'interviendra qu'entre 2025 et 2027 selon les catégories de risque. Il ne couvre pas non plus les spécificités sectorielles — un dispositif médical avec IA embarquée a des obligations qui dépassent largement ce périmètre.

Mais sur les quatre sanctions prononcées à ce jour, les six étapes ci-dessus auraient suffi à éviter chacune d'entre elles. 550 000 € économisés pour une semaine de travail structuré.

La CNIL a montré sa grille de lecture. Elle est limpide. Reste à l'appliquer avant qu'elle ne vienne vérifier à votre place.

Pour démarrer, notre checklist conformité IA Act gratuite reprend ces 6 étapes sous forme de template actionnable — avec les références d'articles RGPD et IA Act pré-remplies.

Cet audit s'appuie sur les données de notre veille réglementaire : 198 documents suivis issus de la CNIL, du Journal Officiel de l'UE, de Legifrance et du CEPD. Dernière mise à jour : 25 avril 2026.

À lire aussi : notre analyse des amendes CNIL et de leur insuffisance structurelle et le comparatif IA Act vs RGPD pour les chatbots.